Кто такой DPO и что такое аутсорсинг ответственного за обработку персональных данных

Персональные данные (ПДн) — это информация, которая относится к конкретному человеку (субъекту данных) и позволяет идентифицировать его. Это могут быть такие сведения, как имя, фамилия, номер телефона, адрес электронной почты, биометрические и паспортные данные, история покупок, медицинская и финансовая информация, многое другое.

В современной цифровой эпохе сведения о нас остаются практически повсюду. От поисковых запросов в интернете до информации в социальных сетях, от покупок в интернет-магазинах до медицинских записей или банковских услуг, — они аккумулируются повсеместно. Это нормально до тех пор, пока обработка персональных данных и их использование соответствуют целям их сбора.

22/11/23

Б-152

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

За безопасность персональных данных отвечают организации, которые ее собирают и обрабатывают (операторы ПДн). Они обязаны соблюдать законодательные нормы, которые устанавливают требования к сбору и хранению сведений, техническим средствам их обработки. Операторы ПДн должны назначать ответственных за организацию обработки ПДн, чтобы следить за выполнением предусмотренных 152-ФЗ требований организационного-правового характера.

Несмотря на то, что 152-ФЗ предусматривает обязанность для операторов, являющихся юридическими лицами, назначать ответственных за организацию обработки персональных данных, однако на многих предприятиях такая должность не предусмотрена.
Почему? Причин несколько. Основные:

• Количество квалифицированных специалистов ограничено. В вузах нет профильных факультетов, выпускающих готовых экспертов. Растущий спрос приводит к дефициту трудовых ресурсов.
• Эксперт со специализированными знаниями и опытом стоит 250 000 рублей и более. Не все компании готовы платить такую зарплату.
• Нет достаточной экспертизы. Некоторые организации недооценивают важность DPO. Они перекладывают функции по организации системы сбора ПДн, ее хранению и использованию на непрофильных сотрудников (юристов, HR). У такого персонала недостаточно знаний, времени, а порой и мотивации для того, чтобы организовывать и контролировать работу, так как эти обязанности для них дополнительные к основной деятельности.

Data Protection Officer необходим для организации работы с персональными данными в компании. Ключевые обязанности:

• Разработка политики в отношении обработки ПДн. DPO разрабатывает и обновляет политики и процедуры, касающиеся сбора, обработки и защиты ПДн. Он также обеспечивает их реализацию внутри компании.
• Обучение сотрудников. Согласно п. 6 ч.1 ст. 18.1 152-ФЗ операторы обязаны проводить обучение персонала. Это помогает повысить уровень осведомленности среди персонала и, соответственно, надежность системы работы с ПДн.
• Мониторинг и аудит. Следит за порядком сбора, обработки и хранения ПДн в организации. Выявляет новые процессы обработки ПДн и вносит соответствующие изменения в ЛНА, вносит изменения в Уведомления (об обработке и трансграничной передаче. DPO выявляет контрагентов, которым передаются ПДн (работников или клиентов), грамотно выстраивает с ними отношения (разрабатывает соглашения о поручении обработки ПДн), а также готовит необходимые формы согласий для передачи ПДн таким контрагентам.
• Связь с регулирующими органами. Ответственный представляет организацию в коммуникации с надзорными органами, уведомляет их об инцидентах с ПДн, если это необходимо.
• Консультации. Консультирует руководство предприятия и сотрудников по вопросам политики оператора в отношении обработки ПДн.
• Отслеживание изменений в законодательстве, донесение обновлений до руководства и персонала.
• Обработка запросов от субъектов ПДн.

Роль DPO на предприятии является критической для обеспечения безопасности и конфиденциальности персональных данных, соблюдения законодательства, минимизации рисков.

Существует несколько распространенных мифов и заблуждений относительно роли Data Protection Officer, которые могут привести к неверным представлениям о его обязанностях и функциях:

DPO необязателен на предприятии
Одним из распространенных мифов является убеждение, что ответственный не нужен, если компания не собирает большие объемы персональных данных. На самом деле, в соответствии с 152-ФЗ, назначение DPO является обязательным, если обрабатываются ПДн (вне зависимости от объема этих данных или размера компании) и если оператор является юридическим лицом.

Функции может выполнять любой сотрудник
Есть мнение, что DPO может быть кем-то, кто просто дополнительно занимается защитой данных. На самом деле, только компетентный сотрудник сможет изучить и внедрить в работу все требования 152-ФЗ.

Может заменить IT-специалистов
Есть заблуждение, что DPO может заменить специалистов по информационной безопасности. Их роли дополняют друг друга, но они выполняют разные функции.

DPO не имеет ничего общего с бизнес-процессами
Эксперт оценивает каждый бизнес-процесс с точки зрения соответствия требованиям по защите ПДн. Он оценивает риски, разрабатывает механизмы их устранению и минимизации.

Если в компании нет DPO или эту работу выполняет некомпетентный сотрудник, вероятны такие риски:

• Несоблюдение законодательства. Отсутствие DPO может привести к невыполнению законодательных требований, что влечет за собой судебные разбирательства, штрафы. В законодательстве предусмотрены более 12 видов штрафов за нарушение требований работы с ПДн на сумму до 18 млн рублей.
• Утечка ПДн. Без DPO организация может быть менее осведомленной о потенциальных угрозах, методах сбора, хранения и обработки ПДн, а также требованиях 152-ФЗ.
• Недостаточная защита прав субъектов персональных данных. Data Protection Officer играет важную роль в обеспечении соблюдения прав субъектов, таких как, например, право на доступ. к персональным данным. Без него компания может пропустить запросы от клиентов или не уложиться в предусмотренные 152-ФЗ сроки. Несогласованность политики в отношении ПДн, нарушение сроков, условий хранения пользовательской информации.
• Упущение возможностей. Эффективная обработка и защита ПДн может предоставлять компании возможности для анализа данных и улучшения бизнес-процессов. Без DPO компания может упустить эти возможности.
• Репутационные риски. Утечка конфиденциальной информации приведет оттоку клиентов, вплоть до потери бизнеса.

Конкурентные преимущества. Эффективная защита персональных данных в организации может служить конкурентным преимуществом, так как клиенты будут более склонны доверять компании, которая обеспечивает безопасность личной, платежной или другой информации.

В Москве и Санкт-Петербурге начинающему специалисту придется платить в среднем 150 000 рублей в месяц. Эксперт получает зарплату в два-три раза больше.

Примерные статьи расходов:

• Заработная плата. Может варьироваться в зависимости от региона, опыта и квалификации специалиста. В Москве и других крупных городах зарплата обычно выше, чем в регионах.
• Обучение и сертификация. Чтобы разбираться во всех нюансах 152-ФЗ, DPO не обойтись без фундаментальных знаний, сертификации в области защиты персональных данных. Это может потребовать дополнительных расходов.
• Затраты на технические средства работы с ПДн. Юридические консультации. DPO может потребоваться консультация юристов или адвокатов для обеспечения соблюдения законодательства о персональных данных.

Содержать в штате эксперта, ответственного за защиту ПДн, может не каждая компания. Оптимизировать расходы на такого специалиста без рисков для предприятия можно посредством аутсорсинга. Это практика найма сторонней организации для выполнения обязанностей, связанных с управлением и обработкой персональных данных в компании.

Преимущества аутсорсинга по сравнению с наймом

• Независимость. Внешний DPO работает независимо, что помогает обеспечить объективность, непредвзятость. Такой подход к организации труда позволяет снизить конфликты интересов внутри компании.
• Экспертиза. Профильный эксперт обладает знаниями и опытом в области защиты ПДн, что позволяет ему эффективно управлять процессами обработки данных и обеспечивать их безопасность. Он работает с разными компаниями, имеет доступ к актуальным знаниям и практикам в области защиты ПДн.
• Сокращение рисков. Исполнитель помогает компании снизить риски нарушений законодательства и утечек ПДн, так как обладает необходимой экспертизой и практическими навыками.
• Гибкость. Используя аутсорсинг, компания платит только за тот объем услуг, который ей фактически предоставлен. Это экономный подход, особенно выгодный для небольших и средних предприятий — не нужно платить полную зарплату штатному специалисту, оплачивать отпуска, делать обязательные отчисления.
• Соблюдение сроков. Аутсорсинг DPO может обеспечить быстрое внедрение инструментов работы с ПДн, так как внешний специалист уже знает, что и как нужно делать.
• Прозрачность. По результатам выполнения работ исполнитель ежемесячно предоставляет отчет.

Помимо многочисленных плюсов, аутсорсинг DPO также имеет ограничения и недостатки, такие как меньший контроль над процессами и непосредственным доступом к данным. Чтобы избежать рисков, нужно выбирать опытного, компетентного провайдера. Вот несколько шагов, которые помогут в этом:

1. Определите, какие услуги DPO вам нужны. Рассмотрите объем обработки персональных данных в вашей компании, специфические риски, требования законодательства.
2. Обратите внимание на опыт, репутацию, клиентов, цены.
3. Удостоверьтесь, что провайдер обладает соответствующей экспертизой и сертификатами в области защиты ПДн. Это включает в себя знания законодательства, стандартов, методов обработки данных.
4. Выбирайте компанию, которая имеет опыт в отрасли, так как это поможет точнее понять потребности и риски вашего бизнеса.
5. Заключите договор, который четко определяет услуги, сроки, ответственность, стоимость.
6. Убедитесь, что провайдер может интегрироваться с вашими внутренними бизнес-процессами, коммуникацией.
7. Договоритесь о механизмах мониторинга и отчетности, чтобы контролировать работу.

Услугой аутсорсинга DPO пользуются компании разных размеров и сфер деятельности. Профессионалы отрасли могут привести примеры успешного взаимодействия. Исследуйте репутацию провайдера, обратитесь к его клиентам для получения рекомендаций и отзывов.

При поддержке компании Б-152:

• Компания TimePad, работающая с большими объемами ПДн смогла привести бизнес-процессы в соответствие требованиям № 152-ФЗ «О персональных данных» и избежали риска блокировки сайта.
• DOUBLE DATA успешно прошла проверки Роскомнадзора.
• ООО «Русский АвтоМотоКлуб» получило рекомендации и документацию, как по российскому законодательству, так и по Европейскому, в соответствии с GDPR.
• ООО МФК «Инвест-Проект» привело политику работы с ПДн в соответствие изменениям в ФЗ-152.

Это лишь несколько примеров того, как можно эффективно управлять рискам в области защиты данных, чтобы предотвратить юридические проблемы и не утратить доверие клиентов.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Аутсорсинг ответственного за организацию обработки ПДн приобретает все большую важность для компаний в современном мире, где персональные данные стали одним из наиболее ценных активов. Работа с профессионалами не только сохраняет конфиденциальность, но и предотвращает различные виды мошенничества и утечек информации, способствует доверию в онлайн-среде и обеспечивает соблюдение законодательства. Это важно для стабильного развития бизнеса, обеспечения работы компаний в правовом поле, выстраивания доверительных отношений с клиентами и партнерами.
С аутсорсингом услуг Data Protection Officer все это становится доступным для предприятий с разным количеством клиентов, сотрудников, объемом персональных данных и бюджетом.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме